Ποια είναι η ευπάθεια POODLE και πώς μπορείτε να προστατεύσετε τον εαυτό σας;
Είναι δύσκολο να κλείσουμε το μυαλό μας γύρω από όλες αυτές τις καταστροφές στο Internet καθώς συμβαίνουν και όπως πιστεύαμε ότι το Διαδίκτυο ήταν ασφαλές και πάλι, αφού οι Heartbleed και Shellshock απειλούσαν να «τελειώσουν τη ζωή όπως το γνωρίζουμε», έρχεται το POODLE.
Μην πάρετε πάρα πολύ δουλειά επειδή δεν είναι τόσο απειλητικό όσο ακούγεται. Η αλήθεια είναι ότι είναι ένα ζήτημα που πρέπει να ασχοληθείτε με, αλλά υπάρχουν απλά βήματα που μπορείτε να κάνετε για να διασφαλίσετε τον εαυτό σας.
Τι είναι το POODLE?
Ας ξεκινήσουμε στο ισόγειο. Τι είναι το POODLE; Πρώτα απ 'όλα, σημαίνει "Padding Oracle στην υποβαθμισμένη κρυπτογράφηση Legacy."Το ζήτημα ασφαλείας είναι ακριβώς αυτό που υποδηλώνει το όνομα, μια υποβάθμιση πρωτοκόλλου που επιτρέπει την εκμετάλλευση σε μια ξεπερασμένη μορφή κρυπτογράφησης. Το θέμα ήρθε στην προσοχή του κόσμου αυτό το μήνα, όταν η Google κυκλοφόρησε ένα χαρτί που ονομάζεται "Αυτό το POODLE Bites: Αξιοποίηση του SSL 3.0 Fallback".
Για να το εξηγήσουμε με απλούστερους όρους, εάν ένας εισβολέας που χρησιμοποιεί μια επίθεση Man-In-The-Middle μπορεί να πάρει τον έλεγχο ενός δρομολογητή σε ένα δημόσιο hotspot, μπορεί να αναγκάσει το πρόγραμμα περιήγησής σας να υποβαθμιστεί σε SSL 3.0 (παλαιότερο πρωτόκολλο) πολύ πιο σύγχρονο TLS (Security Layer Security) και, στη συνέχεια, εκμεταλλευτείτε μια τρύπα ασφαλείας στο SSL για να ξεφύγετε από τις περιόδους του προγράμματος περιήγησης. Επειδή αυτό το πρόβλημα είναι στο πρωτόκολλο, επηρεάζεται οτιδήποτε χρησιμοποιεί SSL.
Όσο και ο διακομιστής και ο πελάτης (πρόγραμμα περιήγησης ιστού) υποστηρίζουν SSL 3.0, ο επιτιθέμενος μπορεί να αναγκάσει την υποβάθμιση του πρωτοκόλλου, οπότε ακόμα και αν το πρόγραμμα περιήγησης προσπαθεί να χρησιμοποιήσει το TLS, καταλήγει να αναγκάζεται να χρησιμοποιήσει SSL. Η μόνη απάντηση είναι για τις δύο πλευρές ή για τις δύο πλευρές να αφαιρέσουν την υποστήριξη για SSL, καταργώντας την πιθανότητα υποβάθμισης.
Αν ψάχνετε κυρίως από το σπίτι και δεν χρησιμοποιείτε δημόσια hotspots, η πιθανότητα για ζημιές είναι αρκετά χαμηλή και μπορείτε απλά να πάρετε τα εύκολα βήματα που περιγράφονται παρακάτω στο άρθρο για να προστατεύσετε τον εαυτό σας. Εάν χρησιμοποιείτε συχνά ένα δημόσιο hotspot, ίσως είναι καιρός να σκεφτείτε για τη χρήση ενός VPN.
Πώς μπορούμε να λύσουμε το πρόβλημα?
Δεδομένου ότι δεν υπάρχει τρόπος να επιλυθούν τα προβλήματα με το SSL, η μόνη λύση είναι για τους κατασκευαστές περιηγητών και τους διακομιστές ιστού να αναβαθμίσουν τα πάντα για να αφαιρέσουν την υποστήριξη για SSL και απαιτούν μόνο κρυπτογράφηση TLS.
Η Google και ο Firefox έχουν ήδη ανακοινώσει ότι θα απομακρύνουν την υποστήριξη στο μέλλον και ενώ δεν έχουμε ακόμη ακούσει τα ίδια από τη Microsoft, είναι εξαιρετικά εύκολη η απενεργοποίηση του SSL 3.0 στον τελικό χρήστη από τον τελικό χρήστη. Οι περισσότερες από τις μεγάλες εταιρείες Ιστού καταργούν την υποστήριξη για το SSL μετά από την εμφάνιση του προβλήματος, αλλά θα χρειαστεί λίγος χρόνος για να το κάνουν όλοι.
Ως καταναλωτής, μπορείτε να καταργήσετε την υποστήριξη για το SSL από το πρόγραμμα περιήγησής σας χρησιμοποιώντας μία από τις μεθόδους που περιγράφονται παρακάτω - ή εάν χρησιμοποιείτε τον Firefox ή το Google Chrome και δεν χρησιμοποιείτε συνεχώς hotspots, μπορείτε να περιμένετε να ενημερώσουν το πρόγραμμα περιήγησης. Ή μπορείτε να βεβαιωθείτε ότι έχετε επιδιορθώσει το πρόβλημα μόνοι σας.
Απενεργοποίηση του SSL 3.0 στο Mozilla Firefox
Εάν είστε χρήστης του Mozilla Firefox, οι ανησυχίες σας για το SSL 3.0 θα τεθούν στο κρεβάτι στις 25 Νοεμβρίου 2014, όταν κυκλοφορήσει το Fireox 34. Το μόνο πρόβλημα με αυτό είναι ότι δεν είναι ακόμα ο Νοέμβριος και πρέπει να αναλάβετε δράση για να προστατευθείτε τώρα. Ξεκινήστε ανοίγοντας το πρόγραμμα περιήγησης Firefox και πλοηγώντας στη σελίδα λήψης ελέγχου ελέγχου SSL στο Firefox.
Όταν έχει εγκατασταθεί με επιτυχία, μπορείτε να εισάγετε "about: addons" στη γραμμή πλοήγησης και να επιλέξετε την επέκταση "Έλεγχος έκδοσης SSL". Μπορείτε να κάνετε κλικ στο "Επιλογές" για να δείτε τις ρυθμίσεις για την επέκταση. Βεβαιωθείτε ότι οι "Αυτόματες ενημερώσεις" είναι ενεργοποιημένες και ότι η "Ελάχιστη έκδοση SSL" έχει οριστεί σε "TLS 1.0"
Μετά την κυκλοφορία του Firefox 34, μπορείτε να απενεργοποιήσετε την επέκταση ή να την απεγκαταστήσετε.
Απενεργοποίηση του SSL 3.0 στο Google Chrome
Εάν είστε χρήστης του Google Chrome, μπορείτε να είστε βέβαιοι ότι το SSL 3.0 θα απενεργοποιηθεί τους προσεχείς μήνες, αν και δεν έχουν καθορίσει ακόμα ημερομηνία. Αν θέλετε να προστατευθείτε τώρα, μπορείτε να το κάνετε με μερικά απλά βήματα. Απλά πηγαίνετε στο εικονίδιο του Google Chrome στην επιφάνεια εργασίας σας και κάντε δεξί κλικ πάνω του, στη συνέχεια επιλέξτε "Ιδιότητες" στο κάτω μέρος του αναδυόμενου μενού.
Στο παράθυρο "Ιδιότητες" θα δείτε ένα πλαίσιο εισαγωγής κειμένου που λέει "Στόχος". Απλά κάντε κλικ σε αυτό το πλαίσιο και πατήστε το κουμπί "Τέλος" στο πληκτρολόγιό σας. Στη συνέχεια, πατήστε το "Spacebar" και αντιγράψτε και επικολλήστε αυτό το κείμενο στο τέλος.
--ssl-έκδοση-min = tls1
Πατήστε "Εφαρμογή" και, στη συνέχεια, πατήστε "Συνέχεια" στο αναδυόμενο παράθυρο και, στη συνέχεια, πατήστε "OK".
Τώρα το πρόγραμμα περιήγησης θα απορρίψει αυτόματα τα πιστοποιητικά SSL 3.0 και θα δεχτεί μόνο TLS 1.0 και νεότερη. Αξίζει να σημειωθεί ότι αν ξεκινήσετε το Chrome μέσω οποιασδήποτε άλλης συντόμευσης στον υπολογιστή σας, δεν θα χρησιμοποιεί αυτή τη σημαία.
Απενεργοποίηση του SSL 3.0 στον Internet Explorer
Η Microsoft δεν έχει ακόμη ανακοινώσει πότε σκοπεύει να αντιμετωπίσει το ζήτημα του SSL 3.0, επομένως είναι καλύτερο να το απενεργοποιήσετε, ανοίγοντας το μενού "Έναρξη" και πληκτρολογώντας "Επιλογές Internet".
Μεταβείτε στην καρτέλα "Για προχωρημένους" και μετακινηθείτε προς τα κάτω στην ενότητα "Ασφάλεια" έως ότου δείτε τις επιλογές SSL και TLS και, στη συνέχεια, αποεπιλέξτε την επιλογή Χρήση SSL 3.0 και, στη συνέχεια, ενεργοποιήστε το TLS.
Με αυτόν τον τρόπο μπορείτε να είστε σίγουροι ότι τα προγράμματα περιήγησης στο Διαδίκτυο είναι όλα ασφαλή από πιθανές επιθέσεις POODLE.
Image Credit: Karen στο Flickr